Rahasia "awan". We are looking for alternatif kanggo mbukak solusi

Aku dadi insinyur kanthi latihan, nanging biasane kerja bareng karo pengusaha lan manajer produksi. Sawetara wektu kepungkur, pemilik perusahaan industri njaluk saran marang aku. Senadyan kasunyatan manawa perusahaan kasebut gedhe lan didegake ing taun 90-an, departemen manajemen lan akuntansi isih bisa digunakake kanthi cara lawas, nggunakake jaringan lokal.

Iki minangka akibat saka keprihatinan babagan bisnis lan tambah pengawasan pemerintah. Undhang-undhang lan peraturan bisa diinterpretasikake kanthi wiyar banget dening panguwasa pangaturan. Conto yaiku amandemen Kode Pajak. ngilangi statute watesan kanggo nglanggar tax, karusakan nyata banking lan rahasia audit.

Akibaté, pemilik bisnis wiwit nggoleki solusi kanggo panyimpenan informasi sing aman lan transfer dokumen. A virtual "aman."

Tugas kasebut digarap karo administrator sistem full-time: analisa jero babagan platform sing wis ana dibutuhake.

• Layanan kasebut ora kudu adhedhasar awan ing pangertèn tradisional, yaiku, ora disimpen ing papan pihak katelu. Mung server dhewe;
• Enkripsi sing dipercaya saka data sing dikirim lan disimpen dibutuhake;
• kemampuan kanggo mbusak isi kanthi cepet saka piranti apa wae kanthi nutul tombol wajib;
• Solusi kasebut dikembangake ing luar negeri.

Aku nyaranake njabut titik kaping papat, amarga aplikasi Rusia duwe sertifikat resmi. Direktur kasebut kanthi jelas nyatakake apa sing kudu ditindakake kanthi sertifikat kasebut.

Kita milih opsi

Aku wis milih telung solusi (luwih akeh opsi kanggo milih, luwih akeh keraguan):

• Proyek Open Source Syncthing.net , dikelola dening pangembang penggemar Jacob Borg.
• Resilio.com, dikelola dening American Resilio Inc. (sadurunge layanan iki diarani BitTorrent Sync).
• Proyek kasebut Pvtbox Elektronik Aman saka pvtbox.net Nyelarasake aplikasi. Registrasi Siprus.

Pemilik perusahaan ora ngerti babagan rincian teknis, mula aku ngowahi format laporan kasebut minangka dhaptar pro lan kontra saben pilihan.

Asil analisis

syncthing

Плюсы:

• Open source;
• mimpin kegiatan pangembang;
• Proyek kasebut wis suwe banget;
• Gratis.

Cons:

• Ora ana klien kanggo cangkang iOS;
• Alon Aktifake server (padha gratis, supaya alon-alon). Kanggo sing
  Aku ora ngerti, Nguripake digunakake nalika iku mokal kanggo nyambung langsung;
• Persiyapan antarmuka sing rumit (mbutuhake pengalaman program pirang-pirang taun);
• Lack saka support komersial cepet.

Ketahanan

Pros: Dhukungan kanggo kabeh piranti lan cepet Aktifake server.

Cons: Salah sawijining masalah sing penting yaiku tim dhukungan pelanggan ora nggatekake pitakon apa wae. Nol tanggapan, sanajan nulis saka alamat sing beda.

Pvtbox

Pros:

• Dhukungan kanggo kabeh piranti;
• Server giliran cepet;
• Kamungkinan kanggo ndownload file tanpa nginstal aplikasi;
• Dhukungan pelanggan sing nyukupi, kalebu liwat telpon.

Минусы:

• Proyek enom (sawetara review lan ringkesan apik);
• Antarmuka situs web banget teknis lan ora mesthi cetha;
• Ora ana dokumentasi sing rinci, lan akeh masalah sing mbutuhake kontak dhukungan.

Apa sing dipilih pelanggan?

Pitakonan pisanane: apa gunane ngembangake barang kanthi gratis? Sinkronisasi langsung ditolak. Argumentasi ora bisa.

Sawetara dina sabanjure, pelanggan kasebut nolak Resilio Sync amarga ora ana dhukungan, amarga ora jelas kepiye kedadeyan darurat. Kajaba iku, ora percaya karo registrasi perusahaan ing AS.

Pvtbox Electronic Safe tetep kanggo analisis luwih lanjut. Kita nindakake audit teknis lengkap babagan platform iki, fokus ing potensial intersepsi, dekripsi, lan akses ora sah menyang panyimpenan data.

Proses audit

Kita nganalisa sambungan nalika miwiti program, sajrone operasi, lan nalika ngaso. Lalu lintas, miturut standar modern, wiwitane dienkripsi. Kita bakal nyoba kanggo nindakake serangan MITM lan ngganti sertifikat ing fly nggunakake Linux (Xubuntu Linux 18.04), Wireshark, MitmproxyKanggo nindakake iki, kita bakal ngleksanakake perantara antarane aplikasi Pvtbox lan server pvtbox.net (data diijolke karo server pvtbox.net liwat sambungan https).

Kita mbukak aplikasi kanggo mesthekake yen sinkronisasi program lan file ing njero bisa digunakake. Linux Sampeyan bisa langsung mirsani logging yen sampeyan mbukak program saka terminal.


Pateni aplikasi lan ganti alamat host pvtbox.net ing file kasebut / etc / hosts karo hak istimewa superuser. Kita ngganti alamat kasebut karo alamat server proxy kita.


Saiki ayo nyiyapake server proxy kanggo serangan MITM ing komputer kanthi alamat 192.168.1.64 ing jaringan lokal kita. Kanggo nindakake iki, kita bakal nginstal paket mitmproxy versi 4.0.4.

Kita miwiti server proxy ing port 443:
$ sudo mitmproxy -p 443

Kita miwiti program Pvtbox ing komputer pisanan, katon ing output mitmproxy lan log aplikasi.


Mitmproxy laporan yen klien ora ngandel sertifikat palsu server proxy. Log aplikasi uga nuduhake yen sertifikat server proxy gagal verifikasi, lan program ora gelem mbukak.

Nginstal sertifikat server proxy mitmproxy Kanggo dipercaya sertifikat, nginstal paket ca-sertifikat ing komputer sing nganggo Pvtbox. Banjur, nyalin sertifikat mitmproxy-ca-cert.pem saka direktori .mitmproxy server proxy menyang direktori /usr/local/share/ca-certificates ing komputer sing nganggo Pvtbox.

Kita nglakokake perintah:
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -inform PEM -out mitmproxy-ca-cert.crt
$ sudo nganyari-ca-sertifikat


Kita miwiti aplikasi Pvtbox. Sertifikat gagal verifikasi maneh, lan program ora gelem mbukak. Aplikasi kasebut kemungkinan nggunakake mekanisme keamanan. Sertifikat pinning.

Serangan sing padha ditindakake ing tuan rumah signalserver.pvtbox.net, Uga sambungan peer-to-peer dhewe antarane node. Pangembang nuduhake yen aplikasi kanggo nggawe sambungan peer-to-peer nggunakake protokol WebRTC sing mbukak, sing nggunakake enkripsi end-to-end. DTLSv1.2.

Tombol kui kanggo saben persiyapan sambungan lan ditularaké liwat saluran ndhelik liwat signalserver.pvtbox.net.

Secara teoritis, bisa uga kanggo nyegat tawaran WebRTC lan mangsuli pesen, ngganti kunci enkripsi, lan dekripsi kabeh pesen WebRTC sing mlebu. Nanging, serangan MiTM ing signalserver.pvtbox.net ora kasil, mula ora ana cara kanggo nyegat lan ngganti pesen sing dikirim liwat signalserver.pvtbox.net.

Patut, ora bisa nindakake serangan iki ing sambungan peer-2-peer.

Berkas sertifikat sing disedhiyakake karo program kasebut uga dideteksi. Berkas kasebut ana ing /opt/pvtbox/certifi/cacert.pem. Berkas iki diganti karo file sing ngemot sertifikat sing dipercaya saka server proxy mitmproxy kita. Asil tetep ora owah-program ora gelem nyambung menyang sistem, lan kesalahan padha diamati ing log.
yen sertifikat ora lulus verifikasi.

asil audit

Aku ora bisa nyegat utawa spoof lalu lintas. Jeneng file, lan utamane isine, dikirim kanthi enkripsi, nggunakake enkripsi end-to-end. Aplikasi kasebut ngetrapake sawetara mekanisme keamanan kanggo nyegah eavesdropping lan gangguan.

Akibaté, perusahaan tuku loro server darmabakti (ing lokasi kapisah) kanggo akses permanen kanggo informasi. Server pisanan digunakake kanggo nampa, ngolah, lan nyimpen informasi, dene sing kapindho digunakake kanggo serep.

Terminal karya direktur lan telpon seluler iOS disambungake menyang awan pribadi sing diasilake. Karyawan liyane disambungake dening administrator sistem full-time lan dhukungan teknis Pvtbox.

Kancaku wis ora ana keluhan wiwit iku. Muga-muga reviewku bakal mbantu para pamaca Habr ing kahanan sing padha.

Source: www.habr.com